O Google Workspace oferece duas maneiras de configurar o Logon único (SSO) com o Google como parte confiável do seu provedor de identidade:
- Perfil de SSO legado: permite configurar apenas um IdP para a organização.
- Perfis de SSO: a maneira mais recente e recomendada de configurar o SSO. Permite aplicar configurações de SSO diferentes a usuários diferentes na sua organização, oferece suporte a SAML e OIDC, tem APIs mais modernas e será o foco do Google para novos recursos.
Recomendamos que todos os clientes migrem para perfis de SSO para aproveitar esses benefícios. Os perfis de SSO podem coexistir com o perfil de SSO da sua organização. Assim, você pode testar novos perfis antes de fazer a transição de toda a organização.
Visão geral do processo de migração
- No Admin Console, crie um perfil de SSO para o IdP e registre-o com ele.
- Atribua usuários de teste para usar o novo perfil e confirmar se ele funciona.
- Atribua sua unidade organizacional principal ao novo perfil.
- Atualize os URLs específicos do domínio para usar o novo perfil.
- Limpeza: cancele a inscrição do provedor de serviços antigo e verifique se o provisionamento automático de usuários ainda funciona.
Etapa 1: criar um perfil de SSO
- Siga estas etapas para criar um novo perfil de SSO SAML. O novo perfil precisa usar o mesmo IdP do perfil de SSO da sua organização.
- Registre o novo perfil de SSO com o IdP como um novo provedor de serviços.
O IdP vai considerar o novo perfil como um provedor de serviços distinto (ele pode chamar esses perfis de "apps" ou "partes confiáveis"). A forma de registrar o novo provedor de serviços varia de acordo com o IdP, mas geralmente requer a configuração do ID da entidade e do URL do serviço de declaração do consumidor (ACS) para o novo perfil.
- Se você usar o perfil de SSO da sua organização, só poderá usar a API Google Workspace Admin Settings para gerenciar as configurações de SSO.
- A API Cloud Identity pode gerenciar perfis de SSO como inboundSamlSsoProfiles e atribuir a grupos ou unidades organizacionais usando inboundSsoAssignments.
Afirmações de superadministrador
Os perfis de SSO não aceitam declarações sobre superadministradores. Ao usar o perfil de SSO da sua organização, as declarações são aceitas, mas os superadministradores não são redirecionados para o IdP. Por exemplo, as seguintes declarações são aceitas:
- O usuário segue um link do iniciador de apps do seu IdP (SAML iniciado pelo IdP)
- O usuário navega até um URL de serviço específico do domínio (por exemplo, https://drive.google.com/a/your_domain.com)
- O usuário faz login em um Chromebook configurado para navegar diretamente para o IdP. Saiba mais.
Configurações de verificação pós-SSO
As configurações que controlam a verificação pós-SSO (como desafios de login ou verificação em duas etapas) são diferentes para os perfis de SSO e para o perfil de SSO da sua organização. Para evitar confusão, recomendamos definir as duas configurações com o mesmo valor. Saiba mais.
Etapa 2: atribuir usuários de teste ao perfil
É recomendável testar o novo perfil de SSO em um grupo ou unidade organizacional antes de fazer a mudança em todos os usuários. Use um grupo ou uma unidade organizacional existente ou crie uma nova, conforme necessário.
Se você tiver dispositivos ChromeOS gerenciados, recomendamos o teste baseado em unidades organizacionais, já que é possível atribuir dispositivos ChromeOS a unidades organizacionais, mas não a grupos.
- Opcional: crie uma unidade organizacional ou um grupo de configuração e atribua usuários de teste a ele.
- Siga estas etapas para atribuir usuários ao novo perfil de SSO.
Se você configurou o SSO para dispositivos ChromeOS para que os usuários naveguem diretamente para o IdP, teste o comportamento do SSO separadamente para esses usuários.
Para que o login seja bem-sucedido, o perfil de SSO atribuído à unidade organizacional do dispositivo precisa corresponder ao perfil de SSO atribuído à unidade organizacional do usuário do dispositivo.
Por exemplo, se você tiver uma unidade organizacional de vendas para funcionários que usam Chromebooks gerenciados e fazem login diretamente no IdP, crie uma unidade organizacional, como "sales_sso_testing", atribua-a para usar o novo perfil e mova alguns usuários e os Chromebooks que eles usam para essa unidade.
Etapa 3: atribuir a unidade organizacional principal e atualizar os URLs de serviço
Depois de testar o novo perfil de SSO em um grupo de teste ou unidade organizacional, você poderá trocar de usuário.
- Acesse Segurança
SSO com IdPs de terceiros
- Clique em Gerenciar.
- Selecione a unidade organizacional de nível superior e atribua ao novo perfil de SSO.
- Opcional: se outras unidades organizacionais ou grupos forem atribuídos ao perfil de SSO da sua organização, atribua-os ao novo perfil de SSO.
SSO com IdPs de terceirosEtapa 4: atualizar URLs específicos do domínio
Se sua organização usa URLs específicos do domínio (por exemplo, https://mail.google.com/a/your_domain.com), atualize essa configuração para usar o novo perfil de SSO:
- Acesse Segurança
- Em "Redirecionar automaticamente os usuários para o IdP de terceiros no seguinte perfil de SSO", selecione o novo perfil de SSO na lista suspensa.
Etapa 5: limpeza
- Em Segurança
- Desmarque a opção Ativar perfil de SSO legado para desativar o perfil legado.
- Confirme se o provisionamento automático de usuários configurado com o IdP funciona corretamente com o novo perfil de SSO.
- Cancele a inscrição do antigo provedor de serviços no IdP.